对话商汤田丰:SaaS平台与云厂商,谁该为数据安全买单?
编者按:本文来自微信公众号“底层设计师”(ID:Bottom-upDesigner),作者:陈伊凡,36氪经授权发布。
数字化转型中,SaaS厂商应扮演什么角色;与云厂商之间保持怎样的关系;上云成本和数据安全之间如何找到平衡点;在数字化转型浪潮袭来之际,云厂商又该承担怎样的责任。
SaaS平台与云厂商,谁该为数据安全买单?
在田丰看来,平台上的企业和SaaS厂商,更像是信托和受托的关系。企业们将数据托付给SaaS厂商,受托人是第一责任人,有责任对数据的整个生命周期进行管理。
而SaaS厂商一旦依附于一个大的云厂商,只需要负责应用层面的数据安全,这能够大大降低其数据安全的成本;底层数据架构的安全可以交付于云厂商,二者的关系更像家电和发电厂。
近日,网络安全行业发生了一件大事。
微信小程序头部服务商——SaaS平台微盟集团(02013.HK)遭遇“删库”,系统宕机,影响百万商户。3月2日,微盟集团公告称,丢失数据已全面召回,并准备了1.5亿元赔付拨备金。
“微盟事件”触发了对于SaaS平台数据安全的思考。
加之疫情影响,原本在数字化转型上悬而未决、犹豫不定的企业主们开始意识到,上云成为必须且紧迫的事情。数字化转型中,SaaS厂商应扮演什么角色;与云厂商之间保持怎样的关系;上云成本和数据安全之间如何找到平衡点;在数字化转型浪潮袭来之际,云厂商又该承担怎样的责任?
对此,商汤产业战略研究院院长、阿里云研究院创始人田丰提出了“数据信托”的概念。
在田丰看来,平台上的企业和SaaS厂商,更像是信托和受托的关系。企业们将数据托付给SaaS厂商,受托人是第一责任人,有责任对数据的整个生命周期进行管理。
而SaaS厂商一旦依附于一个大的云厂商,只需要负责应用层面的数据安全,这能够大大降低其数据安全的成本;底层数据架构的安全可以交付于云厂商,二者的关系更像家电和发电厂。
在企业们数字化、智能化转型的过程中,云厂商们所承担的责任更像是“企业数字化转型的教练”,提供一项普惠技术,门槛低、成本低,帮助更多企业上云。
对话田丰
MIR:面对数据安全,SaaS平台应承担什么样的责任?
田丰:数据必然有采集、清洗分析、中间传输和存储这些环节,任何一个环节都有可能产生数据被篡改或泄露。在美国的数据产业链中,有人专门收集数据,如需要自动驾驶的数据,可能借助民间力量,这就涉及到一些外部数据收集和分析的公司。
为此,我提出了“数据信托”的概念。企业或个人把数据托付给SaaS服务商,SaaS服务商就是第一责任人,有责任对数据的整个生命周期进行管理,绝对不能外包或买卖数据。如今,在数据层面,大家的安全意识很强,数据只进不出,因为一旦出去会产生各种问题,无法受控。
MIR:业内是否有针对SaaS平台数据安全管理的标准或规范?
田丰:目前,有很多不同的法律规范对数据安全进行保护,但还没有一套专门针对SaaS平台的统一标准,因为涉及的层面太多。
但适用于SaaS厂商的法律很多,ISO27001是针对信息安全管理的标准,ISO20000是针对系统运维的标准。此外,《网络安全法》、《个人信息保护法》、欧盟的GDPR等都是对数据安全进行规范和管理。
以前IT时代,数据删除和篡改的风险很大,但数据泄漏的风险没有互联网时代大。现在既要重视存储的数据安全,还要看传输的数据安全,甚至在收集层面也要做到一定程度的脱敏和匿名化。
MIR:企业上SaaS平台时会考虑成本,SaaS厂商如何在成本和安全间找到平衡?
田丰:要做到两点平衡,SaaS厂商一定要依托一个强有力的云厂商。
数据防护分应用层、中间层和底层。应用层的数据防护主要看apsdk层面有没有漏洞,有没有可能在应用层被人攻破或从内部攻破。PaaS这一中间层,需要处理大量数据的分发、调度并进行计算,中间层也有可能被人黑掉。在底层IaaS层面,就是我们理解云平台是分布式存储,传统的数据中心是集中式存储。
SaaS厂商需要选择云厂商来保障底层和中间层,SaaS厂商只需要负责应用层的数据应用监控,这样成本就降下来了。
MIR:SaaS厂商与云厂商之间是什么关系?如果出现信息安全,云厂商应承担什么责任?
田丰:两者的关系可以类比成发电厂与家电。如果我在家里私接一个功率很大的家电,导致家里整个电路短路,这个事情跟发电厂没有关系。云厂商是技术提供者的角色,SaaS厂商基于其上进行终端服务。
对于SaaS厂商而言,不能将安全权限过于集中在某一个人手里,很多数据删除的操作,至少需要两个系统管理员的密码。
平台所能保证的是基础架构和数据架构的安全,应用层需要靠SaaS厂商自己。SaaS厂商要创新自己的应用层,做好防护。从数据防护的全流程来说,SaaS厂商需要保证的就是其中大约30%的安全,其它70%的安全交给云厂商。
MIR:如何理解“企业上云后,数据都掌握在云厂商手里”这种担心?
田丰:十年前大家都在热议这个问题,那时大家对云计算都不太了解,但现在这已经是非常成熟的产业。阿里云已经成立十年,腾讯云也成立了6-7年,整个产业是非常规范的。
我之所以提出“数据信托”这个概念,是因为不管在哪个云上,数据始终是客户的,如果想做更多开发,一定要和客户商谈。而且,现在云计算厂商主要做技术类服务,对数据没有兴趣。如一些公司跟某些保险公司做数据共创和服务,那是业务层的协议,跟底下云技术服务协没关系的,后者挣的是工具类的钱,而不是数据的钱。我觉得目前来讲,中国、美国、欧洲在数据层面,都有高度的防护意识和安全意识。
MIR:在数据安全保护上,未来法律法规的方向是什么?
田丰:我们建议的方向是促发展、保底线。不能一味严防死守,都不能做,产业就无法发展。目前,欧洲原来严防死守的法律也有所松动,开始向不同行业授权,培养自己的数字产业,如数字欧洲方案、地平线的欧洲方案、欧洲中小企业战略等。
MIR:大型云厂商在数字化上应该扮演什么角色?
田丰:需要提供一项普惠技术,一是降低技术门槛,不需要学习太长时间,减轻企业上云门槛;二是价格不能太贵,否则中小企业用不起。科技从诞生到全面普及有一个S曲线,逐渐坡爬到过程,技术越成熟,成本越低,人群越广。
目前,云计算已经相对成熟,大的云计算厂商应扮演企业数字化转型教练的角色。我更倾向于将其称之为智能化转型,只有智能化才能解互联网下半场的难题。那么多数据收回来,一定要通过机器学习等技术,发现数据背后的商机规律。国外头部SaaS厂家Salesforce做得很好,这家企业成立于1999年,帮助企业做ERP系统等服务。Salesforce最早是一个通用型的在线CRM平台(客户关系管理),后来逐渐沉淀出自己的PaaS平台。